Bài viết của: Nidhi Rastogi là một chuyên gia an ninh mạng có trụ sở tại New York. Bài chia sẻ từ tạp chí THE HACKER NEWS – November Edition. Bạn có thể tải Complete Magazine tại đây.
Gần một năm sau khi phát hiện ra Stuxnet, thế giới gần đây đã chứng kiến biến thể mạnh mẽ của nó dưới dạng Duqu. Người ta tin rằng một blogger người Hungary là người đầu tiên thử vi-rút vào đầu tháng 9 tại một dịch vụ lưu trữ của ISP.
Tại sao nó quan trọng: Duqu đã thu hút được rất nhiều sự chú ý vì những điểm tương đồng nổi bật với tiền thân nổi tiếng của nó, Stuxnet. Một số nhà nghiên cứu Bảo mật đã kết luận rằng 99 phần trăm các quy tắc của phần mềm Duqu giống với Stuxnet bao gồm mã nguồn và các khóa để mã hóa. Hiện tại có bằng chứng hợp lý rằng thiệt hại do Stuxnet gây ra là có thật. Do đó, Duqu là mối quan tâm của mọi chuyên gia bảo mật vào lúc này.
Làm thế nào nó hoạt động: Duqu ngụy trang dữ liệu của chính nó đằng sau lưu lượng truy cập web bình thường để tránh bị các quản trị viên mạng nghi ngờ. Thông tin này sau đó được gửi đến máy chủ chỉ huy và điều khiển từ xa (máy chủ CC) bằng cách sử dụng yêu cầu http. Máy chủ phản hồi bằng một hình ảnh JPG trống, để đáp lại, Duqu sẽ gửi lại một hình ảnh được nối với thông tin bị đánh cắp được mã hóa. Địa chỉ IP của máy chủ CC được sử dụng cho các hoạt động ban đầu này là 206.183.111.97 và được theo dõi đến Ấn Độ. Máy chủ CC đã ngừng hoạt động kể từ đó.
Con ngựa thành Troy, không giống như Stuxnet, có thể ghi lại các thao tác gõ phím, thu thập các chi tiết khác nhau của hệ thống, sau đó được mã hóa và nối vào một tệp hình ảnh. Dữ liệu có thể chỉ đơn giản là dữ liệu cấu hình và thiết kế từ các hệ thống, có lẽ là để cho phép ai đó có được lợi thế cạnh tranh. Trojan đã được cấu hình để chạy trên máy chủ trong 36 ngày, sau đó vectơ đe dọa sẽ tự động tiêu diệt chính nó khỏi hệ thống. Tuy nhiên, các thành phần bổ sung được gửi từ máy chủ CC có thể kéo dài tuổi thọ vượt quá khoảng thời gian này.
Mục đích: Duqu dường như đang tập trung vào khai thác dữ liệu ngay bây giờ, do thám máy chủ để thu thập thông tin hoặc tính năng về môi trường. Mục đích thực sự của việc phát tán Trojan vẫn chưa rõ ràng và việc thu thập dữ liệu có thể chỉ là giai đoạn ban đầu của một thiết lập lớn hơn.
Độ phức tạp: Không có gì mới lạ về phương thức tấn công và có thể giả định một cách an toàn rằng kẻ tạo ra ít nhất đã có quyền truy cập vào mã Stuxnet. Khi một tác phẩm nhất định được lưu hành, những tác phẩm khác sẽ phát triển dựa trên nó. Và đây có thể là trường hợp của Duqu. Duqu cũng giống như Stuxnet, sử dụng chứng chỉ kỹ thuật số bị đánh cắp từ một công ty Đài Loan để chứng minh tính xác thực của nó. Ngoài ra, Duqu không thể tồn tại quá lâu vì ngày đăng ký trình điều khiển đã được ghi nhận là tháng 7 năm 2011. Cũng có khả năng cùng một nhóm được tuyển dụng để tạo ra biến thể Stuxnet. Giống như Stuxnet, Duqu cũng là một cuộc tấn công do Nhà nước tài trợ, vì không bên nào khác sẽ tham gia vào một hoạt động đòi hỏi trình độ kỹ thuật phong phú nhưng không mang lại lợi ích tiền tệ rõ ràng.
Các lý thuyết khác: Nhiều giả thuyết khác nhau đang nổi xung quanh động cơ và nguồn gốc của Duqu. Một trong những điều thú vị là bởi @reversemode trên twitter. Theo ông, một trong những hình ảnh thiên hà đến từ 66.49.141.227, gợi ý mối liên hệ giữa tiếng Do Thái với Duqu. Trong 1 tuần qua, một số biến thể khác đã được phát hiện, nhưng không thể nói nhiều về chúng vì còn quá sớm.
Phân tích: Duqu tạo ấn tượng về một thứ gì đó to lớn hơn nhiều so với những gì bắt gặp trước mắt. Điều thú vị cần lưu ý là các kỹ thuật được sử dụng để triển khai các cuộc tấn công này không phải là công nghệ tiên tiến. Độ sâu của thông tin có thể được trích xuất bằng Duqu không khác gì những gì Stuxnet có thể làm. Nó cũng không phức tạp hơn những gì chúng ta đã thấy với Aurora. Họ đã hấp dẫn vì sự kết hợp của một hoạt động có thể phá hoại tầm vóc của họ. Nhưng nó không giống với Duqu. Ngoài sự phức tạp mà nó chia sẻ với người tiền nhiệm, những người tạo ra Duqu cũng đã sử dụng các kỹ thuật lâu đời – chính sách mật khẩu không hợp lệ, sử dụng ổ USB ngoài giờ làm việc và những thứ tương tự để hỗ trợ lây lan vi-rút. Vậy điều gì về trojan-virus đang thu hút mọi sự chú ý này?
Duqu là minh chứng cho sự khởi đầu của một kỷ nguyên mà chiến tranh mạng sẽ lớn hơn chiến tranh hạt nhân và những thứ tương tự. Không phải là lần này chúng tôi không biết về các chương trình gián điệp của các quốc gia. Chính tần suất mà chúng được phát hiện đã chứng thực giả thuyết rằng tội phạm mạng sẽ gia tăng mạnh trong tương lai. Đối phó với vấn đề này sẽ là trọng tâm chính đối với phần lớn các chuyên gia bảo mật của chúng tôi.
DUQU trong tin tức:
![Lỗ hổng nghiêm trọng Sqli trong kênh [V] Trang mạng](v.png "Lỗ hổng nghiêm trọng Sqli trong kênh [V] Trang mạng")
